“泄密门”祸首归案

内外控失效

“这位盗取CSDN用户数据库的黑客可能涉嫌‘非法入侵计算机系统罪。”知名IT律师赵占领说，“根据《刑法》第285条，非法侵入计算机系统，或者采取其他技术手段获取计算机系统中的数据，情节严重者会判处3年以下有期徒刑，情节特别严重者判处3年到7年。”

并且，提供用户数据、传播用户信息、出售个人信息等行为也违反了法律，“非法出售、提供个人信息，判处3年以下有期徒刑。”

实际上，由于法律意识淡薄，以及抱着好玩的态度，很多在互联网公司从事安全的技术员工，以及安全厂商的技术员工都或多或少地盗取、传播过用户的信息库。

在黑客圈中的广泛看法是：只要不进行售卖、钓鱼等明显的盈利行为，那么就并不违法。

“大家都会觉得没事。因为此前，互联网上，根本没有人因为用户信息泄漏的问题而被抓。”星云融创CEO马杰说，“尽管安全厂商会与员工、互联网公司会与安全系统的员工签订相关的协议，写清楚在供职期间不允许做危害公共安全的事情。但是这个禁令基本无效。”

“白天安全工程师晚上黑客”

“CSDN对敏感信息不敏感，也缺乏安全意识。”CSDN总裁蒋涛承认，国内不少大型网站安全意识也都很薄弱。目前，整个互联网的安全现状极不乐观：70%以上的加密算法密码库都可以通过高频碰撞破解，80%以上的互联网公司都存在漏洞，60%以上有安全策略的公司还存在着漏洞。

这些漏洞，便是黑客入侵的基础。

众多的黑客潜伏在IT互联网公司。根据目前公布出来的调查结果，在这次泄密门事件中，《YY语音》的信息泄漏来自其员工，而窃取CSDN用户数据也是互联网公司的技术人员干的。

“这是企业员工的自发行为，和企业并没有关系。但这也说明了安全行业身份的多重性。”一位黑客说，这些人可能白天是某企业的安全工程师，晚上就是黑客。

“这一次，黑客是善意的，曝出来的都是以前的库。”一位不愿具名的安全行业工程师透露，实际上，他们手里有最新的库，但出于对行业环境的考虑，没有把这些库曝出来。

缘何网站忽视预警？

两个祸首被抓之后，有人爆料称，在“泄密门”发生之前，其实是有预警的。但是，为何网站们对预警如此忽视？这缘于黑客与网站之间多年形成的微妙关系。这些网站对黑客往往是又气又恼。在黑客面前，网站就像一个学生。黑客老师天天挑学生的毛病，刚开始可能觉得是正向激励，日子久了，自然对黑客没好脸色。

更有一些网站极端地认为，没有黑客，网站的漏洞在某种程度上来说就不存在，“即便存在，也不打紧。只要不暴露，就可以视而不见”。

但是，网站又无法“忽视”黑客。因为黑客冷不防就会给上“温柔一刀”。有的互联网企业直接“招安”黑客，纳入麾下；有的小网站每月给黑客上交1万～2万元的“保护费”。

“其实，黑客需要的是肯定。”一位安全行业工程师说。如果网站能在一些漏洞平台上给提交漏洞的黑客以积分，用作鼓励。黑客也愿意无私提交发现的漏洞，如此形成一个良性循环。